2020/12/24
非IT部門も知っておきたいサイバー攻撃の最新動向と企業の経営リスク
自社だけで頑張っていても
米国証券取引委員会(SEC)への提出書類では、主要なリスク要因として「ランサムウェア」について言及することがますます増えている。そのため、SECコンプライアンス検査局(OCIE)は7月、フィッシングキャンペーンとランサムウェア攻撃の増加を防止および対応するために、投資会社や投資顧問などに対してサイバーセキュリティー管理を「即座に」 レビューするよう求める警告(*4)を発行した。
ここでは迅速な通知や法執行機関との連携、インシデント対応手順の再検討を示唆するといったことも含まれている。
また、OCIEは米国国土安全保障省サイバーセキュリティーおよびインフラストラクチャセキュリティーエージェンシー(CISA)によって発行されたサイバーセキュリティーアラート(*5)を参照することを推奨しており、次の6つをポイントとして掲げている。
・インシデント対応と復旧のためのポリシー・手順・計画
・組織がビジネスサービスを提供し続けることができるよう、復旧するための計画
・サイバーリスクへの意識向上とトレーニングプログラム
・脆弱(ぜいじゃく)性スキャンとパッチ管理
・アクセス管理
・境界を設け、ネットワークトラフィックを制御・監視・検査
前の3つが組織面での対応、後の3つが技術面での対応となっているが、いずれも「想定」の上に成り立つことは想像に難くない。そして、OCIEではこれらの取り組みを対象事業者だけではなく、影響を受ける可能性のあるサードパーティのサービスプロバイダーとも共有していくことを推奨している。
そう、もはや自社だけで頑張っていても、サイバー攻撃やサイバー犯罪による被害は小さくできないのだ。
本連載執筆担当:ウイリス・タワーズワトソン Cyber Security Advisor, Corporate Risk and Broking 足立 照嘉
出典
(*1)https://www.computing.co.uk/news/4023770/manchester-united-suffers-sophisticated-cyber-attack-organised-crime-group
(*2)https://hello.global.ntt/en-us/insights/2020-global-threat-intelligence-report
(*3)U.S. Department of the Treasury, 2020, “Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments,” issued October 1, 2020.
(*4)https://www.sec.gov/files/Risk%20Alert%20-%20Ransomware.pdf
(*5)https://us-cert.cisa.gov/ncas/alerts
非IT部門も知っておきたいサイバー攻撃の最新動向と企業の経営リスクの他の記事
おすすめ記事
-
-
ランサムウェアの脅威、地域新聞を直撃
地域新聞「長野日報」を発行する長野日報社(長野県諏訪市、村上智仙代表取締役社長)は、2023年12月にランサムウェアに感染した。ウイルスは紙面作成システム用のサーバーとそのネットワークに含まれるパソコンに拡大。当初より「金銭的な取引」には応じず、全面的な復旧まで2カ月を要した。ページを半減するなど特別体制でなんとか新聞の発行は維持できたが、被害額は数千万に上った。
2025/07/10
-
中澤・木村が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/07/08
-
-
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2025/07/05
-
-
-
-
-
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方